Une proposition de la Commission européenne pourrait obliger les entreprises technologiques à analyser les messages privés à la recherche de matériel d'abus sexuel d'enfants (CSAM) et de preuves de pédopiégeage, même lorsque ces messages sont censés être protégés par un chiffrement de bout en bout. La sollicitation d’enfants à des fins sexuelles, ou pédopiégeage, est « une pratique où un adulte se "lie d’amitié" avec un enfant (de manière générale en ligne, mais le pédopiégeage hors ligne existe également) dans le but de commettre des abus sexuels à son encontre ». L'adulte cherche à se rapprocher d'un enfant et à instaurer avec lui une relation affective, voire parfois aussi avec sa famille, pour lever les inhibitions de la victime dans l'intention de perpétrer des abus sexuels.
Les services en ligne qui reçoivent des « ordres de détection » en vertu de la législation en cours de l'Union européenne auraient « des obligations concernant la détection, le signalement, la suppression et le blocage du matériel d'abus sexuel d'enfants connus et nouveaux, ainsi que la sollicitation d'enfants, quelle que soit la technologie utilisée dans les échanges en ligne », indique la proposition. Le plan appelle le chiffrement de bout en bout un outil de sécurité important, mais ordonne essentiellement aux entreprises de casser ce chiffrement de bout en bout par tous les moyens technologiques nécessaires :
« Afin de garantir l'efficacité de ces mesures, de permettre des solutions sur mesure, de rester technologiquement neutres et d'éviter le contournement des obligations de détection, ces mesures devraient être prises quelles que soient les technologies utilisées par les prestataires concernés dans le cadre de la fourniture de leurs services. Par conséquent, le présent règlement laisse au fournisseur concerné le choix des technologies à exploiter pour se conformer efficacement aux ordres de détection et ne devrait pas être compris comme incitant ou décourageant l'utilisation d'une technologie donnée, à condition que les technologies et les mesures d'accompagnement répondent aux exigences de présent règlement ».
« Cela inclut l'utilisation de la technologie de cryptage de bout en bout, qui est un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris celles des enfants. Lors de l'exécution de l'ordre de détection, les fournisseurs devraient prendre toutes les mesures de sauvegarde disponibles pour s'assurer que les technologies qu'ils emploient ne peuvent pas être utilisées par eux ou leurs employés à des fins autres que le respect du présent règlement, ni par des tiers, et pour éviter ainsi de porter atteinte à la sécurité et la confidentialité des communications des utilisateurs ».
Un document de questions-réponses décrivant la proposition souligne l'importance de scanner les messages chiffrés de bout en bout : « Le NCMEC [National Center for Missing and Exploited Children] estime que plus de la moitié de ses rapports CyberTipline disparaîtront avec le chiffrement de bout en bout, laissant les abus non détectés, à moins que les fournisseurs ne prennent des mesures pour protéger les enfants et leur vie privée également sur les services chiffrés de bout en bout ».
Pour les défenseurs des droits numériques, « plus de surveillance » n'apportera pas « plus de sécurité » aux enfants en Europe
C'est l'avis que Tutanota partage avec d'autres acteurs du numérique.
Tutanota est un logiciel de courriel open source chiffré de bout en bout et un service de messagerie web sécurisée. Tutanota chiffre également tous les courriels et les contacts. Pour les destinataires extérieurs, qui n’utilisent pas Tutanota, une notification est envoyée avec un lien vers un compte Tutanota temporaire. Après avoir entré un mot de passe échangé précédemment, le destinataire peut lire le message et répondre de manière chiffrée de bout en bout. Tutanota est développé et fourni par une compagnie allemande, Tutanota GmbH, depuis 2011. Le nom Tutanota est dérivé des mots latins tuta nota qui signifient « message sécurisé ».
Étant donc un acteur de l'industrie, Tutona s'est exprimé sur le sujet par le biais de son cofondateur : « Dans son projet de loi pour lutter contre les abus sexuels sur les enfants, la Commission européenne décrit l'un des appareils de surveillance de masse les plus sophistiqués jamais déployés en dehors de la Chine : le scan à la recherche de CSAM sur les appareils de tout le monde. En tant que service de courrier électronique, nous recevons régulièrement des ordres de surveillance des autorités allemandes. Nous avons analysé ces données pour savoir si des ordonnances de surveillance sont émises pour poursuivre les agresseurs d'enfants ».
En Grande-Bretagne, le projet de loi visant à affaiblir le chiffrement progresse
Online Safety Bill est présenté comme étant un nouvel ensemble de lois visant à protéger les enfants et les adultes en ligne. Cela rendra les entreprises de médias sociaux plus responsables de la sécurité de leurs utilisateurs sur leurs plateformes.
Le service de chat chiffré Signal a indiqué qu'il cessera de fonctionner au Royaume-Uni si le gouvernement britannique venait à adopter son projet de loi sur la sécurité en ligne.
Online Safety Bill envisage d'affaiblir le chiffrement grâce à une analyse côté appareil soi-disant pour protéger les enfants contre les contenus nuisibles et, par conséquent, briser la sécurité du chiffrement de bout en bout par la même occasion. Il est actuellement examiné au Parlement et fait l'objet de controverses depuis des mois.
Le projet de loi tel qu'il est actuellement formulé obligerait les entreprises de médias sociaux à empêcher les enfants d'être exposés à des contenus préjudiciables en ligne et tiendrait les dirigeants pénalement responsables des préjudices tels que le fait de ne pas supprimer les contenus illégaux ou de ne pas censurer les messages impliqués dans la cyberintimidation ou l'automutilation.
Le projet de loi contient ce que les critiques ont appelé « une clause d'espionnage ». Elle oblige les entreprises à supprimer le matériel d'exploitation et d'abus sexuels d'enfants ou le contenu terroriste des plateformes en ligne « qu'elles soient communiquées publiquement ou en privé ». En ce qui concerne Signal, cela signifie que le chiffrement doit être supprimé pour permettre l'analyse du contenu ou que l'analyse doit avoir lieu avant le chiffrement.
De tels schémas ont été condamnés par des experts techniques et Signal est également peu enthousiaste.
« Signal est une organisation à but non lucratif dont la seule mission est de fournir un moyen de communication numérique véritablement privé à quiconque, partout dans le monde », a déclaré Meredith Whittaker, présidente de la Signal Foundation. « Des millions de personnes dans le monde comptent sur nous pour fournir un service de messagerie sûr et sécurisé pour faire du journalisme, exprimer une dissidence, exprimer des pensées intimes ou vulnérables et parler à ceux dont ils veulent être entendus sans surveillance des entreprises technologiques et des gouvernements ».
« Nous n'avons jamais rompu et ne romprons jamais notre engagement envers les personnes qui utilisent et font confiance à Signal. Et cela signifie que nous choisirions absolument de cesser nos activités dans une région donnée si l'alternative signifiait saper nos engagements en matière de confidentialité envers ceux qui comptent sur nous ».
« Signal ne participera jamais, ne participera jamais, à 1 000 %, à une sorte d'adultération de notre technologie qui saperait nos promesses de confidentialité. Les mécanismes disponibles, les lois de la physique et la réalité de la technologie et les approches qui ont été essayées sont profondément défectueuses, tant du point de vue des droits de l'homme que du point de vue technologique », a déclaré Whittaker. En réponse aux commentaires de Whittaker sur le projet de loi, la Dr Monica Horten, responsable politique pour la liberté d'expression à l'Open Right Group, a exhorté le gouvernement britannique à abandonner "la clause d'espionnage".
« Cette clause donnera à l'Ofcom le pouvoir de demander aux entreprises privées de scanner les messages privés de tout le monde au nom du gouvernement. Il s'agit tout simplement d'une surveillance privée mandatée par l'État, du type de celle que l'on voit dans les régimes autoritaires. L'annonce de Signal souligne à quel point ces propositions menacent sérieusement le chiffrement et sapent notre droit à communiquer en toute sécurité et en privé. Si Signal se retire du Royaume-Uni, cela nuira aux journalistes, aux militants et aux activistes qui comptent sur le chiffrement de bout en bout pour communiquer en toute sécurité », a déclaré Horten.
Les dispositions du projet de loi visent spécifiquement le chiffrement de bout en bout (End-to-end encryption - E2EE), qui est une forme de chiffrement permettant uniquement aux expéditeurs et aux destinataires d'un message d'accéder à la forme lisible par l'homme du contenu. Il se base sur un mécanisme qui empêche même le fournisseur de services de déchiffrer les messages chiffrés. Un chiffrement de bout en bout robuste, activé par défaut, est le principal argument de vente de Signal auprès de ses 100 millions d'utilisateurs. Parmi les autres applications qui proposent le chiffrement de bout en bout, citons WhatsApp, Telegram et Messenger.
Le projet de loi sur la sécurité en ligne a déjà été adopté par la Chambre des communes au Parlement britannique. Maintenant, c'est à la Chambre des Lords de décider.
L'Allemagne s'oppose à l'analyse côté client
Alors que le Royaume-Uni tente de saper le chiffrement avec le projet de loi sur la sécurité en ligne, en Allemagne, les réserves contre l'affaiblissement du chiffrement pour permettre l'analyse côté client sont très élevées.
Cela a été prouvé une fois de plus lors de l'audition de la commission numérique du Parlement allemand le 1er mars. Bien que le Parlement allemand n'ait pas son mot à dire sur la proposition de la Commission européenne de lutter contre le matériel pédopornographique (CSAM) en ligne, les résultats de cette audition ont été accablants*:
Tous les experts, y compris les organisations de protection de l'enfance, s'accordent à dire que la proposition de l'UE va trop loin et qu'elle porterait atteinte aux droits humains fondamentaux protégés par la Constitution de l'UE.
Par exemple, Elina Eickstädt, informaticienne et porte-parole du Chaos Computer Club, a souligné que le projet d'ordonnance manque fondamentalement l'objectif de lutter contre les représentations de maltraitance d'enfants. Le projet est basé sur une « surestimation grossière des capacités des technologies », en particulier lorsqu'il s'agit de reconnaître du matériel inconnu.
Il représente également une « infrastructure de surveillance sans précédent », a déclaré Eickstädt. Elle a précisé qu'avec un taux d'erreur d'un pour cent et un milliard de messages par jour, dix milliards de faux rapports pourraient survenir. Le projet nécessitera également une identification sur Internet. Elle a également souligné que le blocage d'Internet pourrait devenir « un outil de censure sans précédent ».
L'experte Ella Jakubowska de l'Association européenne des droits numériques a également parlé d'une « attaque numérique ». Elle a souligné que le règlement proposé n'était pas conforme aux droits de l'homme. Il porte atteinte à la confidentialité des communications privées dans les e-mails, les chats ou les photos dans le cloud personnel. Elle plaide pour que la proposition soit retirée.
Teresa Widlok a également rejoint la cohorte : l'association pour la politique libérale des réseaux - LOAD rejette fondamentalement la surveillance déraisonnable et extensive de la communication et du contenu stocké. Le projet de règlement devrait conduire à la détection de nouvelles victimes de violences sexuelles, mais un véritable test de proportionnalité n'est pas possible. Widlok a également souligné que le droit au cryptage serait bien loin avec la réglementation.
Alors, à quoi bon voter une loi qui sera à nouveau annulée par la Cour européenne de justice (CJE) ?
Bien que le Parlement allemand lui-même ne soit pas directement impliqué dans la proposition de la Commission européenne de rendre obligatoire l'analyse côté client des communications chiffrées pour les services en ligne, l'audition a tout de même été un grand succès pour les groupes de défense des droits numériques et les militants de la protection de la vie privée.
Source : Bundestag
Et vous ?
Que pensez-vous du projet de loi britannique sur la sécurité en ligne (Online Safety Bill) et plus généralement du projet de loi européen visant à analyser les données côté appareil au nom de la lutte contre les abus sexuels d'enfants en ligne ?
Un outil de surveillance déguisé en une initiative pour protéger les enfants ou un vœu pieux émis par des personnes qui n'en mesure pas l'ampleur ?
Dans le dernier cas de figure, les multiples avis d'experts dans le domaine ne devraient-ils pas montrer la limite d'un tel raisonnement ?